使用单元管理工具的 certificates 命令替换 HTTPS 端点的 SSL 证书。
从 VMware Cloud Director 10.4 开始,控制台代理使用与 REST API 相同的端点。VMware Cloud Director 10.4.1 及更高版本不支持控制台代理功能的旧版实现。在 VMware Cloud Director 10.4 中,可以从管理选项卡下的功能标记设置菜单中启用 LegacyConsoleProxy 功能。如果启用 LegacyConsoleProxy 功能,则可以使用单元管理工具的 certificates 命令替换 HTTPS 和控制台代理端点的 SSL 证书。
单元管理工具的 certificates 命令会自动将现有证书替换为以 PEM 格式存储的新证书。使用 certificates 命令将自签名证书替换为签名证书,或将过期证书替换为新证书。要创建签名证书,请参见在 Linux 上为 VMware Cloud Director 创建自签名 SSL 证书。
要替换一个或两个端点的 SSL 证书,请使用以下形式的命令:
cell-management-tool certificates options
从 VMware Cloud Director 10.4.1 开始,--http 和 --consoleproxy 为旧版标记。如果未提供其中任何一个,VMware Cloud Director 将重新配置 HTTP 证书。无法通过仅提供 --consoleproxy 导入证书。可以通过仅提供 --http 导入证书。如果同时提供 --http 和 --consoleproxy,VMware Cloud Director 将忽略 --consoleproxy 并仅更新 HTTP 证书。
| 选项 | 参数 | 描述 |
|---|---|---|
| --help (-h) | 无 | 提供此类别中可用命令的摘要。 |
| --config (-c) | 单元的 global.properties 文件的完整路径名 | 默认值为 $VCLOUD_HOME/etc/global.properties。 |
| --http (-j) | 无 | 替换名为 certificates.pem 的证书文件以及 HTTP 端点使用的名为 certificates.key 的私钥文件。 |
| --consoleproxy (-p) | 无 | 对于 VMware Cloud Director 10.4,如果启用 LegacyConsoleProxy,则替换控制台代理端点使用的名为 proxycertificates.pem 的证书文件以及名为 proxycertificates.key 的私钥文件。 |
| --responses (-r) | 单元的 responses.properties 文件的完整路径名 | 默认值为 $VCLOUD_HOME/etc/responses.properties。 |
| --cert | cert-pathname | PEM 编码的 X.509 证书的完整路径名。 |
| --key | key-pathname | --cert 参数所引用证书的 PEM 编码 PKCS #8 私钥的完整路径名。 |
| --key-password | key-password | --key 选项引用的私钥的密码。 |
替换证书
可以省略
--config 和
--responses 选项,除非这些文件已从其默认位置移走。在此示例中,单元的现有 HTTP 端点证书和私钥将替换为
/opt/vmware/vcloud-director/etc/user.http.pem 和
/opt/vmware/vcloud-director/etc/user.http.key 中的证书和私钥,并受密码
kpw 保护。
[root@cell1 /opt/vmware/vcloud–director/bin]# ./cell-management-tool certificates -j --cert /opt/vmware/vcloud-director/etc/user.http.pem --key /opt/vmware/vcloud-director/etc/user.http.key --key-password kpw SSL configuration has been updated. You will need to restart the cell for changes to take effect.
注: 替换证书之后,必须重新启动单元。
